---

Hvad er hackerangrebet SYN-flood ?

/appendix123
appendix123@hotmail.com

---

Appendix123 wrote:

>Hvad er hackerangrebet SYN-flood ?

En TCP-forbindelse oprettes på følgende måde (forklaret ULTRA-kort og
simpelt):

Klienten sender en SYN-pakke tilk serveren.

Serveren svarer med en SYN-ACK-pakke.

Klienten svarer med en ACK-pakke og forbindelsen er oprettett. Et
"three-way-handshake".

Pointen i et SYN-flood angreb er at serveren ved klientens første
SYN-pakke afsætter nogle ressourcer til at holde øje med forbindelsen
for at kunne svare på den forventede 3. ACK-pakke.

Hvis den ikke kommer, bliver ressourcerne automatisk frigivet, men der
går et lille stykke tid.

Hvis man så smider en masse SYN-pakker mod en server fra en
ikke-eksisterende adresse, bliver serveren til sidst overvældet af alle
de ressourcer den har afsat og "dør".

--
"...personality goes a long way."

http://chran.dyndns.dk - Nu med misbrug!

---

Christian Andersen <igqgfq001@sneakemail.com> wrote:
> Hvis den ikke kommer, bliver ressourcerne automatisk frigivet, men der
> går et lille stykke tid.
>
> Hvis man så smider en masse SYN-pakker mod en server fra en
> ikke-eksisterende adresse, bliver serveren til sidst overvældet af alle
> de ressourcer den har afsat og "dør".

Desuden: (naesten) alle operativsystemer har nu om dage funktionalitet
saaledes at SYN flooding ikke er noget problem.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> wrote:

> Christian Andersen <igqgfq001@sneakemail.com> wrote:
> > Hvis den ikke kommer, bliver ressourcerne automatisk frigivet, men der
> > går et lille stykke tid.
> >
> > Hvis man så smider en masse SYN-pakker mod en server fra en
> > ikke-eksisterende adresse, bliver serveren til sidst overvældet af alle
> > de ressourcer den har afsat og "dør".
>
> Desuden: (naesten) alle operativsystemer har nu om dage funktionalitet
> saaledes at SYN flooding ikke er noget problem.

Der findes dog også andre typer af angreb som f.eks. Teardrop
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Jesper <triton@titancity.com> wrote:
> Alex Holst <a@area51.dk> wrote:
>> Desuden: (naesten) alle operativsystemer har nu om dage funktionalitet
>> saaledes at SYN flooding ikke er noget problem.
>
> Der findes dog også andre typer af angreb som f.eks. Teardrop

SYN flooding og overlapping IP fragment (aka teardrop) er to helt
forskellige typer fejl, saa jeg forstaar ikke hvorfor du naevner teardrop
naar der specifikt tales om SYN flooding.

Det eneste de to har til faelles er, at dagens systemer ikke er saarbare
over for dem.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

In newsgroup dk.edb.sikkerhed wrote, Alex Holst, this, the Wed, 7 Nov
2001 12:35:49 +0100:

Hello Alex Holst,

>Desuden: (naesten) alle operativsystemer har nu om dage funktionalitet
>saaledes at SYN flooding ikke er noget problem.

SYN flooding kan stadigvæk være et problem, hvis OS'et flusher
state-tabellen på en gang istedet for fra bunden af. F.eks Checkpoint's
SYN flood gateway funktion.

Jeg har set flere, der sætter deres timeout på så få sekunder at alle
waiting connections bliver flushet, og alle *rigtige* connections bliver
afbrudt, og der skal en retrasmittion til..!

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

---

Kristian Krautwald <kristian@krautwald.dk> wrote:
> In newsgroup dk.edb.sikkerhed wrote, Alex Holst, this, the Wed, 7 Nov
> 2001 12:35:49 +0100:
>>Desuden: (naesten) alle operativsystemer har nu om dage funktionalitet
>>saaledes at SYN flooding ikke er noget problem.
>
> SYN flooding kan stadigvæk være et problem, hvis OS'et flusher
> state-tabellen på en gang istedet for fra bunden af. F.eks Checkpoint's
> SYN flood gateway funktion.
>
> Jeg har set flere, der sætter deres timeout på så få sekunder at alle
> waiting connections bliver flushet, og alle *rigtige* connections bliver
> afbrudt, og der skal en retrasmittion til..!

Jeg var ikke klar over, at Checkpoint reagerede paa den maade. Endnu en
grund til at bruge den udelukkende til LAN firewalling, og ikke Internet
firewalling.

Jeg maa hellere omformulere min tidligere paastand saaledes: der lader
stadigt til at vaere systemer som ikke haandterer SYN flooding angreb ret
godt. Grunden til dette gaar over min forstand da der findes adskellige gode
maader at takle problemet paa.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

In newsgroup dk.edb.sikkerhed wrote, Alex Holst, this, the Sat, 10 Nov
2001 10:59:42 +0100:

Hello Alex Holst,

>Jeg var ikke klar over, at Checkpoint reagerede paa den maade. Endnu en
>grund til at bruge den udelukkende til LAN firewalling, og ikke Internet
>firewalling.

Jeg tror ikke jeg ved hvad du mener med LAN firewalling?

>Grunden til dette gaar over min forstand da der findes adskellige gode
>maader at takle problemet paa.

Enig! - Meget enig!

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

---

Kristian Krautwald <kristian@krautwald.dk> wrote:
> In newsgroup dk.edb.sikkerhed wrote, Alex Holst, this, the Sat, 10 Nov
> 2001 10:59:42 +0100:
>>Jeg var ikke klar over, at Checkpoint reagerede paa den maade. Endnu en
>>grund til at bruge den udelukkende til LAN firewalling, og ikke Internet
>>firewalling.
>
> Jeg tror ikke jeg ved hvad du mener med LAN firewalling?

I nogle miljoer skal det interne LAN ogsaa firewalles, saaledes at en ond
tekniker ikke kan bryde ind i en PC i finansafdeningen. Checkpoint kan bruge
f.ek.s NT's domain profiler saaledes at hver bruger der logger paa en NT
maskine faar det korrekt adgang paa lokal nettet.

Jeg foeler ogsaa at Checkpoint er for kompliceret til at jeg ville saette
den op som firewall foran en flok produktionsmaskiner. Der har vaere
utallige problemer i deres authentication moduler og andet kode som gav en
angriber kontrol over firewall regelsaettet.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk>
> Jeg foeler ogsaa at Checkpoint er for kompliceret til at jeg ville saette
> den op som firewall foran en flok produktionsmaskiner. Der har vaere
> utallige problemer i deres authentication moduler og andet kode som gav en
> angriber kontrol over firewall regelsaettet.

Generelt bør man "kun" bruge den som en filter firewall og slå alle proxies
fra.

Den har været exploitet for tit, heldigvis ikke i de konfiguration jeg sætte
den op i :)

---

In newsgroup dk.edb.sikkerhed wrote, Christian E. Lysel, this, the Sun,
11 Nov 2001 15:34:25 +0100:

Hello Christian E. Lysel,

>Generelt bør man "kun" bruge den som en filter firewall og slå alle proxies
>fra.

Hvis du kun vil have en filter firewall, køb en linuxkasse!

>Den har været exploitet for tit, heldigvis ikke i de konfiguration jeg sætte
>den op i :)

Hvad taler du om?


--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

---

"Kristian Krautwald" <kristian@krautwald.dk>
> Hvis du kun vil have en filter firewall, køb en linuxkasse!

Eller en cisco box.

> >Den har været exploitet for tit, heldigvis ikke i de konfiguration jeg
sætte
> >den op i :)
>
> Hvad taler du om?

Omkring årsskiftet fra 1999 til 2000, var det rigtigt slemt, de seneste har
været noget tynde, bortset fra den seneste.

Nedestående er jo næsten på højde med antallet af fejl i IIS :)

2001-10-23: Check Point VPN-1 SecuRemote Username Acknowledgement
Vulnerability
2001-09-12: Check Point Firewall-1 GUI Log Viewer Vulnerability
2001-09-08: Check Point Firewall-1 Policyname Temporary File Creation
Vulnerability
2001-09-08: Check Point Firewall-1 GUI Client Log Viewer Symbolic Link
Vulnerability
2001-07-18: Check Point Firewall-1 SecureRemote Network Information Leak
Vulnerability
2001-07-11: Check Point Firewall-1/VPN-1 Management Station Format String
Vulnerability
2001-07-09: Check Point Firewall-1 RDP Header Firewall Bypassing
Vulnerability
2001-01-17: Check Point Firewall-1 4.1 Denial of Service Vulnerability
2000-12-14: Check Point Firewall-1 Fast Mode TCP Fragment Vulnerability
2000-11-01: Checkpoint Firewall-1 Valid Username Vulnerability
2000-08-15: Check Point Firewall-1 Session Agent Dictionary Attack
Vulnerability
2000-08-02: Check Point Firewall-1 Unauthorized RSH/REXEC Connection
Vulnerability
2000-07-05: Check Point Firewall-1 Spoofed Source Denial of Service
Vulnerability
2000-06-30: Check Point Firewall-1 SMTP Resource Exhaustion Vulnerability
2000-06-06: Check Point Firewall-1 Fragmented Packets DoS Vulnerability
2000-03-11: Check Point Firewall-1 Internal Address Leakage Vulnerability
2000-03-10: Multiple Firewall Vendor FTP "ALG" Client Vulnerability
2000-02-09: Multiple Firewall Vendor FTP Server Vulnerability
2000-01-29: Check Point Firewall-1 Script Tag Checking Bypass Vulnerability
1999-10-20: Check Point Firewall-1 LDAP Authentication Vulnerability
1999-08-09: Firewall-1 Port 0 Denial of Service Vulnerability
1999-07-29: FireWall-1, FloodGate-1, VPN-1 Table Saturation Denial of
Service Vulnerability
1998-09-24: Check Point Firewall-1 Session Agent Impersonation
Vulnerability

---

>
> Generelt bør man "kun" bruge den som en filter firewall og slå alle proxies
> fra.
>
Øhh, hvis du vil have en filter firewall så køb en router.

> Den har været exploitet for tit, heldigvis ikke i de konfiguration jeg sætte
> den op i :)
>
Mange af de vulnarabilities som har været i FW1, har ikke berørt en så stor
del af installationerne, da det er langt fra alle som bruger alle dens
funktionaliteter.

Men som altid når vi snakker sikkerhed, så skal man huske at være up-to
date.

--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--

---

In newsgroup dk.edb.sikkerhed wrote, Alex Holst, this, the Sun, 11 Nov
2001 15:21:12 +0100:

Hello Alex Holst,

>I nogle miljoer skal det interne LAN ogsaa firewalles, saaledes at en ond
>tekniker ikke kan bryde ind i en PC i finansafdeningen. Checkpoint kan bruge
>f.ek.s NT's domain profiler saaledes at hver bruger der logger paa en NT
>maskine faar det korrekt adgang paa lokal nettet.

OK - på den måde!

Checkpoint er efter min smag et meget dejligt produkt at arbejde med, og
kan al det jeg stiller af krav til en firewall. At licenser til dåsen er
skabt af en flok pengegriske marketingsfolk er noget andet.

Dog er den bedste firewall jeg endnu har arbejdet med, er Lucent's Brick
201. Den er baseret på inferno, lige som Nokia dåserne! Og så er den
fully Managed.

>Jeg foeler ogsaa at Checkpoint er for kompliceret til at jeg ville saette
>den op som firewall foran en flok produktionsmaskiner. Der har vaere
>utallige problemer i deres authentication moduler og andet kode som gav en
>angriber kontrol over firewall regelsaettet.

Jeg synes ikke at den er kompliceret, men sådan er det jo med alt man
kender!

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

---

Kristian Krautwald <kristian@krautwald.dk> wrote:
>>Jeg foeler ogsaa at Checkpoint er for kompliceret til at jeg ville saette
>>den op som firewall foran en flok produktionsmaskiner. Der har vaere
>>utallige problemer i deres authentication moduler og andet kode som gav en
>>angriber kontrol over firewall regelsaettet.
>
> Jeg synes ikke at den er kompliceret, men sådan er det jo med alt man
> kender!

Jeg forstaar ikke hvordan dit kendskab til FW-1 kan goere det et mindre
kompliceret produkt med hvad der deraf foelger af mangel paa tillid. Koden
er tilstraekkelig kompliceret til at deres egne testere ikke fandt de fejl
som Dug Song et al omtaler i deres "A stateful inspection of firewall-1".

Hvis du foeler at du kender FW-1, og ikke synes den er kompliceret kender du
den maaske ikke saa godt igen?

http://www.dataprotect.com/bh2000/

http://media.blackhat.com:554/ramgen/blackhat/bh-usa-00/video/
BH-USA-00-JOHN-MCDONALD-video.rm

Blackhat linket skal vaere een linie.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

In newsgroup dk.edb.sikkerhed wrote, Alex Holst, this, the Sun, 11 Nov
2001 17:10:47 +0100:

Hello Alex Holst,

>Hvis du foeler at du kender FW-1, og ikke synes den er kompliceret kender du
>den maaske ikke saa godt igen?

Wow...

>http://www.dataprotect.com/bh2000/

Men.. det er jo generelt for (næsten) alle firewalls!

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

---

> Checkpoint er efter min smag et meget dejligt produkt at arbejde med, og
> kan al det jeg stiller af krav til en firewall. At licenser til dåsen er
> skabt af en flok pengegriske marketingsfolk er noget andet.
>
Hørt :)

> Jeg synes ikke at den er kompliceret, men sådan er det jo med alt man
> kender!
>
Selom jeg har arbejde med den i et godt stykke tid, så vil jeg ikke være
enig med dig. Den kan _så_ mange ting at man bliver forpusted af at kigge på
dem.

Har du kigget på en "command reference manual" ? den fylder over 300 sider!
Og det er ikke "small talk" som står deri.

--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--

---

> Jeg foeler ogsaa at Checkpoint er for kompliceret til at jeg ville saette
> den op som firewall foran en flok produktionsmaskiner. Der har vaere
> utallige problemer i deres authentication moduler og andet kode som gav en
> angriber kontrol over firewall regelsaettet.
>
Mjaeh, men det er relativt sjældent man bruger de moduler - mange gange slet
ikke, så det er jeg ikke bange for.

--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--

---

> Jeg var ikke klar over, at Checkpoint reagerede paa den maade. Endnu en
> grund til at bruge den udelukkende til LAN firewalling, og ikke Internet
> firewalling.
>
Det vil jeg ikke give dig helt ret i, vi kan godt blive enige om at alle
produkter har deres svage sider, men den kan klare begge job's meget
tilfredsstillende.

Det kræver dog tit tuning på de rette områder, og som det også er nævnt at,
hvis man mener at FW1 er et simpelt produkt så tager man fejl.

At det så også en gang imellem fører til kodefejl o.l. er noget man må tage
med :)


--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--

---

> SYN flooding kan stadigvæk være et problem, hvis OS'et flusher
> state-tabellen på en gang istedet for fra bunden af. F.eks Checkpoint's
> SYN flood gateway funktion.
>
Under hvilke omstændigheder har du oplevet det du beskriver ?

--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--

---

Tak for en god forklaring!


--
/appendix123
appendix123@hotmail.com

---

Appendix123 <appendix123@hotmail.com> wrote:
> Hvad er hackerangrebet SYN-flood ?

Hvis du laerte at bruge en soegemaskine havde du ikke behoevet af vente paa,
at vi svarede paa dit spoergsmaal, og du havde faaet et mere fyldigt svar
end nogen af os sikkert gider skrive om SYN flooding.

http://www.cert.org/advisories/CA-1996-21.html


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/